Top-Themen

Aktuelle Themen (A bis Z)

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit

Netzwerkverkehr und Bandbreite

Frage Netzwerke Netzwerkmanagement

Mitglied: syncmaster

syncmaster (Level 1) - Jetzt verbinden

05.03.2013 um 02:48 Uhr, 3740 Aufrufe, 11 Kommentare

Es soll der Netzwerkverkehr und die benötigte Bandbreite gemessen werden

Hallo,

ich stehe vor der Aufgabe, dass ich die aktuell benötigte Bandbreite, bezogen auf die IP-Adressen, messen muss.

Hintergrund: Wir haben mehrere Subnetze, die über eine Firewall ins Internet gehen. Nun ist die benötigte Internetkapazität vor kurzem sprunghaft angestiegen und ich muss herausfinden, wer (IP-Adresse) diesen Traffic verursacht.

Da die Firewall keine entsprechende Auswertungsmöglichkeit bietet, habe ich mir bereits verschiedene Tools angeschaut. Das einzige, das mir für geeignet erscheint, ist wohl Wireshark. Hier habe ich aber das Problem, wie ich den gesamten Netzwerkverkehr messen kann. Mit einem normalen Switch geht das ja nicht und Ethernet HUB's gibt es keine mehr.

Wäre schön, wenn jemand eine Idee hätte. Vielleicht gibt es ja noch etwas besseres als Wireshark.

Gruß

Thomas
Mitglied: brammer
05.03.2013 um 07:59 Uhr
Hallo,

zwei Aussagen in einem Satz und beide klärungssbedürftig

Mit einem normalen Switch geht das ja nicht und Ethernet HUB's gibt es keine mehr.

Was ist für dich ein Normaler Switch?

Wenn der Konifugrierbar ist, sollte der Portmirroring oder das Spiegeln eines Ports beherrschen....

Und HUB's gibt es schon noch, nur sind die inzwischen schwer zu bekommen...

Aber du kannst auch einen Rechner mit 2 Netzwerkkarten nehmen.
Gab vor Jahren schon einen schönen c't Artikel dazu.

brammer
Bitte warten ..
Mitglied: MrNetman
05.03.2013 um 08:28 Uhr
Hi Thomas,

Wireshark kann man an einem gemanagten Switch mit Port Mirroring benutzen.
Wenn du viele Subnetze hast, solltest du auch managebare Switche haben. Die kosten auch nicht die Welt.
Zum Spiegeln eignet sich der Ausgangsport der Firewall oder der Eingangsport des Routers.
Da der gesammte Verkehr etwas viel ist solltest du nicht Capturen (Aufzeichnen) sondern Monitoren (Analysieren) und eine Listenansicht der IPs/Namen nehmen. Da kann man noch evtl tiefer gehen und das Protokoll wählen.

Gruß
Netman
Bitte warten ..
Mitglied: Lochkartenstanzer
05.03.2013 um 10:49 Uhr
Zitat von syncmaster:
Hier habe ich aber das Problem, wie ich den gesamten
Netzwerkverkehr messen kann. Mit einem normalen Switch geht das ja nicht und Ethernet HUB's gibt es keine mehr.

Alle normalen managebaren switche switche bieten zumindest rudimentäres accounting.

Und Repaeater gibt es sehr wohl auch noch, zumindest gebraucht findet man viele.

Wäre schön, wenn jemand eine Idee hätte. Vielleicht gibt es ja noch etwas besseres als Wireshark.

Einfach einen Rechner mit zwei Nics als bridge schalten und z.B. per iptables traffic accounten.

meines erachtens wäre es aber am sinnvollsten einfach einen mangabaren Switch zu nehmen und bei dem die Portstatistiken regelmäßig auszulesen. das führt dann recht schnell zu dem "Störenfried".


lks
Bitte warten ..
Mitglied: MrNetman
05.03.2013 um 10:54 Uhr
Zitat von Lochkartenstanzer:
meines erachtens wäre es aber am sinnvollsten einfach einen mangabaren Switch zu nehmen und bei dem die Portstatistiken regelmäßig auszulesen. das führt dann recht schnell zu dem "Störenfried".
Leider bringen Portstatisken auf Switches keinerlei Hinweise auf die Verteilung der Endanwender am Internetzugang. Mirroring ist zwingend oder wenns mehr Luxus sein darf, sflow, netflow.

Gruß
Netman
Bitte warten ..
Mitglied: Lochkartenstanzer
05.03.2013 um 11:10 Uhr
Zitat von MrNetman:
> Zitat von Lochkartenstanzer:
> meines erachtens wäre es aber am sinnvollsten einfach einen mangabaren Switch zu nehmen und bei dem die Portstatistiken
regelmäßig auszulesen. das führt dann recht schnell zu dem "Störenfried".
Leider bringen Portstatisken auf Switches keinerlei Hinweise auf die Verteilung der Endanwender am Internetzugang. Mirroring ist
zwingend oder wenns mehr Luxus sein darf, sflow, netflow.



Sorry, hab mich Mißverständlich ausgedrückt. Meine natürlich nicht die reinen Portstatistiken, sondern die Informationen aus den *flow-Messungen.

lks
Bitte warten ..
Mitglied: Pjordorf
05.03.2013 um 13:18 Uhr
Hallo,

Zitat von syncmaster:
Wir haben mehrere Subnetze
OK.

die über eine Firewall ins Internet gehen
OK. Eine Firewall für verschiedene Netze.

ist wohl Wireshark
OK.

Mit einem normalen Switch
Was ist ein Normaler Switch? Hättest du die Güte uns auch in deine Gehemnisse einzuweihen? Wie nennst sich dein Switch und deine Firewall genau? Dann wird es für uns leichter dir zu helfen. Aber falls dies unter Geheimhaltung fällt, dann wird unsere Antwort wohl auch als Geheim einzustufen sein

und Ethernet HUB's gibt es keine mehr.
Doch, gibt es schon noch. Habe sogar noch 2 bei mir wegen solcher Szenarien stehen

Vielleicht gibt es ja noch etwas besseres als Wireshark.
Was sollte besser sein als ein Werkzeug welches dir alle Pakete mitschneiden kann? http://www.gl.com/packetshark-handheld-gigabit-ethernet-tester.html

Gruß,
Peter
Bitte warten ..
Mitglied: syncmaster
06.03.2013 um 02:45 Uhr
Hallo,

natürlich setzen wir managebare Switche ein und ich denke, dass die auch Mirroring können. Aber wenn ich mich recht entsinne, kann auch das Mirroring nicht alle Daten spiegeln.

Mit einem Hub könnte man das, aber einen solchen habe ich nicht und auch die Händler, bei denen ich nachgefragt habe, besitzen keine mehr. Eigentlich würde ich gerne einen Hub zwischen Ausgangsport der Firewall und dem Netzwerkport des ISP's schalten. Dann könnte man auch alles analysieren.

Kannst Du mir sagen, wieviele Daten durch das Mirroring verloren gehen und somit nicht analysiert werden können?

Gruß Thomas
Bitte warten ..
Mitglied: syncmaster
06.03.2013 um 02:50 Uhr
Hallo,

als "normalen Switch" bezeichne ich einen Switch der nicht dazu gebaut wurde zur Datenanalyse eingesetzt zu werden. Wenn ich mich recht entsinne, kann auch das Mirroring nicht alle Daten spiegeln, wodurch die Messung u.U. sehr ungenau würde.

Da ich jetzt nicht der große Trafficanalyzer bin ist mir nicht bekannt, wie ungenau die Messung durch das Portmirroring wird. Ein Hub wäre für mich, rein logisch, die bessere Wahl.

Kannst Du mir sagen, wo man noch Hub's bekommt? Ich habe keine mehr gefunden.

Gruß Thomas
Bitte warten ..
Mitglied: syncmaster
06.03.2013 um 03:08 Uhr
Hallo Peter,

es ist kein Geheimnis welche Geräte wir einsetzen. Ich wollte einfach bei Leuten, die hier mehr Erfahrungen haben als ich, die prinzipielle Vorgehensweise erfragen.

Natürlich wäre ein Ethernet Tester das ideale Werkzeug, abe die die ich kenne, schlagen gleich mit mehreren tausend Euro zu Buche.

Im Übrigen sind beim genannten Problem etwa 10 St. 24/48 Port Switches (HP/D-Link) und eine Watchguard, verteilt über 6 Verteilerschränke, im Einsatz. Die Tatsache, dass praktisch keine Dokumentation zum Netzwerk vorhanden ist, macht die Sache nicht gerade leichter.

Wenn Du einen Händler oder Disti kennst der noch Hub's hat, dann wäre es nett, wenn Du mir den Namen geben könntest.

Gruß Thomas
Bitte warten ..
Mitglied: Lochkartenstanzer
06.03.2013, aktualisiert um 08:13 Uhr
Zitat von syncmaster:
Eigentlich würde ich gerne einen Hub zwischen Ausgangsport der Firewall und dem Netzwerkport des
ISP's schalten. Dann könnte man auch alles analysieren.


Dann

  • nimm eine normale Kiste mit zwei Nics.
  • Hau linux/solaris/bsd/windows in Deiner gewünschten Geschmacksrichtung drauf
  • aktiviere das bridging
  • klemme es dazischen
  • schneide mit wireshark/tcpdump/snoop/whatsoever die Pakete mit.

Gleichzeitig kannst du mit IP-tables (bei linux) Accounting-regeln anlegen, die Dir dann einen Teil der Statistiken liefern.

lks

PS. Ja, es gibt auch Bridging bei Windows.
Bitte warten ..
Mitglied: MrNetman
06.03.2013 um 10:10 Uhr
Hi Thomas
Zitat von syncmaster:
als "normalen Switch" bezeichne ich einen Switch der nicht dazu gebaut wurde zur Datenanalyse eingesetzt zu werden. Wenn ich mich recht entsinne, kann auch das Mirroring nicht alle Daten spiegeln, wodurch die Messung u.U. sehr ungenau würde.
Die nahezu einzige Gefahr beim Portmirroring ist dass nur eine Richtung gespiegelt wird. Darauf ist zu achten (Kommunikationsbeziehungen). Ansonsten ist das mit leidlich aktuellen, unter 10 Jahre alten Switchen leicht zu lösen. Außerdem spiegelst du nicht einen Full-Speed Gigabit.Port oder ein komplettes VLAN sondern nur den Port für den Internetzugang und der ist durch die ISP-Bandbreite sehr begrenzt. Beim Spiegeln wird ja nur Verkehr, den der Switch verarbeiten muss an einem weiteren Port ausgegeben.
Ein Hub wäre für mich, rein logisch, die bessere Wahl.
Der Hub ist eine massiver eingriff in die Infrastruktur. 10Mbit Halbduplex. Das ist für einen 8Mbit Internetanschluß überhaupt nicht mehr machbar. 100Mbit Hubs sind Mangelware und mit Recht früh ausgestorben.

Mit einem Hub konnte man Pakte sehen, die ein Switch nicht mehr weiter verteilt: Defekte Pakte (CRC-Fehler) und so. Diese Art von Fehlern kann man aber gut in der Switchportstatistik sehen. Sie sind außerdem nur ein Hinweis auf Hardware Fehler von Kabeln, NICs oder Switchports.

Gruß
Netman
Bitte warten ..
Ähnliche Inhalte
Netzwerkgrundlagen
Netzwerkverkehr
Frage von homermgNetzwerkgrundlagen4 Kommentare

Hey Leute, ich wollte bei mir zuhause was am Netzwerk umbauen und bin mir jetzt nicht ganz sicher wie ...

LAN, WAN, Wireless
Kompletter Netzwerkverkehr verbergen - nicht mit Webproxy?
Frage von staybbLAN, WAN, Wireless4 Kommentare

Hallo, ist es möglich den kompletten Netzwerkverkehr mit der öffentlichen IP Adressen die man vom Provider zugeteilt bekommen hat ...

Monitoring
Datenpaket suchen im Netzwerkverkehr?
Frage von babylon05Monitoring4 Kommentare

Hallo, ich suche ein bestimmtes Datenpaket, dass zu einem Gerät geschickt wird, um es später im Netzwerk zu suchen. ...

Windows 7
Netzwerkverkehr blocken bis auf Proxy
gelöst Frage von kamelionWindows 74 Kommentare

Hallo Leute! Gibt es die Möglichkeit, den kompletten Netzwerkverkehr zu blocken und nur eine Proxy-Verbindungen zuzulassen? Es geht mir ...

Neue Wissensbeiträge
Viren und Trojaner

Deaktivierter Keylogger in HP Notebooks entdeckt

Information von bitcoin vor 8 StundenViren und Trojaner1 Kommentar

Ein Grund mehr warum man Vorinstallationen der Hersteller immer blank bügeln sollte Der deaktivierte Keylogger findet sich im vorinstallierten ...

Router & Routing

Lets Encrypt kommt auf die FritzBox

Information von bitcoin vor 12 StundenRouter & Routing

In der neuesten Labor-Version der FB7490 integriert AVM unter anderem einen Let's Encrypt Client für Zugriffe auf das Webinterface ...

Internet

Was nützt HTTPS, wenn es auch von Phishing Web-Seiten genutzt wird

Information von Penny.Cilin vor 3 TagenInternet17 Kommentare

HTTPS richtig einschätzen Ob man eine Webseite via HTTPS aufruft, zeigt ein Schloss neben der Adresse im Webbrowser an. ...

Webbrowser

Bugfix für Firefox Quantum released - Installation erfolgt teilweise nicht automatisch!

Erfahrungsbericht von Volchy vor 4 TagenWebbrowser8 Kommentare

Hallo zusammen, gem. dem Artike von heise online wurde mit VersionFirefox 57.0.1 sicherheitsrelevante Bugs behoben. Entgegen der aktuellen Veröffentlichung ...

Heiß diskutierte Inhalte
Batch & Shell
Trusted Sites für alle User auf dem PC einpflegen
Frage von xXTaKuZaXxBatch & Shell12 Kommentare

Aufgabestellung: Es sollen auf 1 PC (bzw. mehreren PCs) vertrauenswürdige Sites per Powershell eingetragen werden, die für alle User ...

Voice over IP
Telefonstörung - Ortsrufnummern kein Verbindungsaufbau
Frage von Windows10GegnerVoice over IP10 Kommentare

Hallo, sowohl bei uns als auch beim Opa ist es über VoIP nicht möglich Ortsrufnummern anzurufen. Es kommt nach ...

Vmware
DOS 6.22 in VMWare mit CD-ROM
gelöst Frage von hesperVmware8 Kommentare

Hallo zusammen! Ich hab ein saublödes Problem. Es ist eine VMWare mit DOS 6.22 zu erstellen auf dem ein ...

Cloud-Dienste
PIM als SaaS Nutzungsgebühr
Frage von vanTastCloud-Dienste8 Kommentare

Moin, wir haben uns ein PIM (Product Information Management) nach unseren Ansprüchen für viel Geld als SaaS-Lösung bauen lassen. ...